web安全防范策略

一、XSS跨站脚本攻击

1、XSS攻击有两大步骤：

（1）、攻击者提交恶意代码

（2）、浏览器执行恶意代码

2、XSS攻击的分类

根据攻击的来源，XSS攻击可以分为存储型、反射型、DOM型三种：

存储型 XSS 的攻击步骤：

这种攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

反射型 XSS 的攻击步骤：

反射型 XSS 跟存储型 XSS 的区别是：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。

反射型 XSS 漏洞常见于通过 URL 传递参数的功能，如网站搜索、跳转等。

由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击。

POST 的内容也可以触发反射型 XSS，只不过其触发条件比较苛刻（需要构造表单提交页面，并引导用户点击），所以非常少见。

DOM 型 XSS 的攻击步骤：

DOM 型 XSS 跟前两种 XSS 的区别：DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。

其它的防范策略：

避免加载外域代码、禁止外域提交、HTTP-only Cookie、验证码、输入长度控制、表单数据指定具体类型等

二、CSRF（Cross-site request forgery）跨站请求伪造

一个典型的CSRF攻击有着如下的流程：

1、常见的攻击类型：

（1）、get请求：例如利用图片发起一次http请求，会携带cookie

（2）、post请求：例如利用隐藏表单自动提交

（3）、url攻击：需要诱导用户手动点击

2、特点

3、防护策略

根据csrf的特点：

制订防护策略：

同源检测：根据请求的Origin和Referer，阻止外域请求或白名单以外的请求，html请求除外

Samesite Cookie：设置cookie属性：Strict 除了本域外任何外域都无法携带，页面跳转也不会携带；Lax：这个请求是（改变了当前页面或者打开了新页面）且同时是个GET请求，则携带；Samesite Cookie不支持子域。

Token：请求携带随机token，这个token一定得是随机的，让攻击者猜不到。可以是服务器生成的随机数、也可以是随机字符串、时间戳、userid加密生成的签名

双重Cookie验证：请求自己携带cookie的同时，在请求参数上也拼接cookie，服务器进行对比。（csrf攻击可以携带cookie，但是无法获取cookie），但是子域可以修改cookie，所以攻击者可以通过子域修改cookie，使得双Cookie验证失效

验证码：在关键位置使用验证码或类似支付密码的方式

其它一些防范措施：

原文链接：https://www.cnblogs.com/fqlGlog/p/11408486.html

原创文章，作者：优速盾-小U，如若转载，请注明出处：https://www.cdnb.net/bbs/archives/18338